Avez-vous surestimé la maturité de votre organisation en matière de sécurité ?
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
Alors que la plupart des entreprises font face au flux et au reflux de la croissance, de l'innovation et de la transformation numérique, il est tout à fait naturel que certains domaines restent en cours à mesure que l'entreprise évolue. C'est souvent le cas pour le programme de cybersécurité d'une organisation, d'autant plus que les responsables de la sécurité luttent pour garder une longueur d'avance sur les nouvelles menaces, vulnérabilités et développements technologiques qui augmentent l'exposition aux risques.
Cependant, avec un pénurie persistante de compétences En dépit du déluge de code écrit pour répondre aux besoins logiciels mondiaux, de nombreuses entreprises prennent du retard dans leur stratégie de cybersécurité et leur infrastructure existante. Et comme le secteur semble obsédé par une approche basée sur les outils, le pouvoir des personnes qualifiées est souvent oublié dans un programme défensif efficace.
Il est temps que nous examinions honnêtement notre maturité globale en matière de cybersécurité et que nous évaluions les gains rapides viables qui se présentent à nous.
La maturité durable en matière de cybersécurité est un processus.
Il est facile pour le public de supposer que chaque entreprise dispose d'un programme de cybersécurité robuste, et la protection consiste simplement à sélectionner le bon logiciel et à l'activer comme un bouclier de force pour arrêter les acteurs de la menace. 2022 étant l'une des les pires années jamais enregistrées en matière de cyberincidents - y compris l'ensemble du gouvernement du Costa Rica est détenu contre rançon - de nombreux professionnels de la sécurité ne pouvaient que souhaiter que ce soit aussi simple.
Alors que de nombreux secteurs, en particulier dans le secteur financier, sont axés sur la conformité et sont soumis à des cadres réglementaires de plus en plus complexes qui exigent des mesures de sécurité strictes, la réalité est que la plupart des organisations font preuve d'un manque de cyberrésilience. Plus de la moitié des grandes entreprises du monde entier ne parviennent pas à stopper efficacement les cyberattaques, pas plus qu'elles ne détectent et corrigent rapidement les vulnérabilités exploitées.
Même les organisations considérées comme avancées, dotées d'un programme défini et mature intégrant une triple menace basée sur les meilleures pratiques, à savoir les personnes, les processus et les technologies, peuvent avoir du mal à répondre aux exigences rapides du paysage des menaces. Un domaine critique dans lequel de nombreuses entreprises échouent est la sensibilisation à la sécurité basée sur les rôles, en particulier pour l'équipe de développement. Alors que chaque membre d'une organisation doit comprendre le rôle qu'il joue dans la réduction de la surface d'attaque, ceux qui se disputent le code jour après jour pourraient être aux commandes d'une véritable approche transformationnelle de la sécurité... si seulement ils étaient suffisamment perfectionnés.
Un programme de sécurité holistique et défensif exige une amélioration continue et nécessite une attention particulière à la mise en place de bases solides. Si ces bases sont principalement basées sur des outils, il y a de fortes chances que les niveaux de maturité soient inférieurs à ceux sur lesquels misent les responsables de la sécurité. Une étude du Ponemon Institute a révélé que 53 % des entreprises n'étaient pas convaincues que leur infrastructure technologique de sécurité puisse empêcher efficacement les violations, et avec l'erreur humaine est la principale cause des cyberattaques réussies contre des entreprises, grandes et petites, laissant les développeurs à l'écart d'une amélioration stratégique de la sécurité, c'est jouer avec le feu.
Faire des développeurs la force motrice de l'excellence en matière de sécurité logicielle
La triste réalité qui entoure les cyberattaques est que, dans presque tous les cas, les attaquants ont un net avantage sur leur entreprise cible, quel que soit leur stade de maturité en matière de sécurité. Ils ont le temps, les outils et la motivation nécessaires pour rechercher méticuleusement toute faiblesse à exploiter, en se consacrant à percer et à gagner leur vie.
Les entreprises, quant à elles, jonglent entre les besoins de leurs entreprises et ceux de leurs clients, et bien qu'elles ne puissent pas se permettre le risque immense d'une cyberattaque de grande envergure, il n'est pas pratique pour elles de ralentir leurs opérations pour s'adapter à une multitude de contrôles de sécurité susceptibles de nuire aux performances. C'est là que les développeurs compétents en matière de sécurité représentent un facteur X dans les résultats de la cyberdéfense.
Bien qu'il soit établi depuis longtemps que les développeurs n'ont pas toujours été autorisés à partager la responsabilité en matière de sécurité de manière significative, cela peut et doit changer pour le mieux. Les organisations peuvent créer des parcours de renforcement des compétences viables pour la cohorte en développement, mais elles doivent sélectionner des options pédagogiques qui proposent des supports de cours pertinents d'une manière qui ait du sens dans leur monde. Au minimum, il doit être transmis dans les langages et les frameworks qu'ils utilisent activement et remédier aux vulnérabilités qu'ils sont les plus susceptibles de rencontrer dans leur base de code.
Lorsque les cours sont structurés en tenant compte du flux de travail du développeur, il est beaucoup plus probable que les modèles de codage médiocres qui perpétuent les vulnérabilités et les erreurs de configuration courantes soient remplacés par des modèles fiables et sûrs qui améliorent considérablement la qualité du logiciel au fil du temps. Les logiciels de faible qualité coûtent cher aux États-Unis 2,41 billions de dollars rien que cette année, et cela ne peut être résolu qu'en brisant le cycle des erreurs qui entretiennent une dette technique risquée.
Il faut un engagement à l'échelle de l'organisation en faveur d'un programme de sécurité plus positif et holistique, un programme qui exploite le pouvoir humain nécessaire pour faire la différence dans les problèmes centrés sur les personnes. Et s'il est essentiel de rester à l'écart des gros titres de demain, cela en vaut certainement la peine.
En raison de la pénurie persistante de compétences et du déluge de code écrit pour répondre aux besoins logiciels mondiaux, de nombreuses entreprises prennent du retard dans leur stratégie de cybersécurité et leur infrastructure existante. Il est temps que nous examinions honnêtement notre maturité globale en matière de cybersécurité et que nous évaluions les gains rapides viables qui se présentent à nous.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
Alors que la plupart des entreprises font face au flux et au reflux de la croissance, de l'innovation et de la transformation numérique, il est tout à fait naturel que certains domaines restent en cours à mesure que l'entreprise évolue. C'est souvent le cas pour le programme de cybersécurité d'une organisation, d'autant plus que les responsables de la sécurité luttent pour garder une longueur d'avance sur les nouvelles menaces, vulnérabilités et développements technologiques qui augmentent l'exposition aux risques.
Cependant, avec un pénurie persistante de compétences En dépit du déluge de code écrit pour répondre aux besoins logiciels mondiaux, de nombreuses entreprises prennent du retard dans leur stratégie de cybersécurité et leur infrastructure existante. Et comme le secteur semble obsédé par une approche basée sur les outils, le pouvoir des personnes qualifiées est souvent oublié dans un programme défensif efficace.
Il est temps que nous examinions honnêtement notre maturité globale en matière de cybersécurité et que nous évaluions les gains rapides viables qui se présentent à nous.
La maturité durable en matière de cybersécurité est un processus.
Il est facile pour le public de supposer que chaque entreprise dispose d'un programme de cybersécurité robuste, et la protection consiste simplement à sélectionner le bon logiciel et à l'activer comme un bouclier de force pour arrêter les acteurs de la menace. 2022 étant l'une des les pires années jamais enregistrées en matière de cyberincidents - y compris l'ensemble du gouvernement du Costa Rica est détenu contre rançon - de nombreux professionnels de la sécurité ne pouvaient que souhaiter que ce soit aussi simple.
Alors que de nombreux secteurs, en particulier dans le secteur financier, sont axés sur la conformité et sont soumis à des cadres réglementaires de plus en plus complexes qui exigent des mesures de sécurité strictes, la réalité est que la plupart des organisations font preuve d'un manque de cyberrésilience. Plus de la moitié des grandes entreprises du monde entier ne parviennent pas à stopper efficacement les cyberattaques, pas plus qu'elles ne détectent et corrigent rapidement les vulnérabilités exploitées.
Même les organisations considérées comme avancées, dotées d'un programme défini et mature intégrant une triple menace basée sur les meilleures pratiques, à savoir les personnes, les processus et les technologies, peuvent avoir du mal à répondre aux exigences rapides du paysage des menaces. Un domaine critique dans lequel de nombreuses entreprises échouent est la sensibilisation à la sécurité basée sur les rôles, en particulier pour l'équipe de développement. Alors que chaque membre d'une organisation doit comprendre le rôle qu'il joue dans la réduction de la surface d'attaque, ceux qui se disputent le code jour après jour pourraient être aux commandes d'une véritable approche transformationnelle de la sécurité... si seulement ils étaient suffisamment perfectionnés.
Un programme de sécurité holistique et défensif exige une amélioration continue et nécessite une attention particulière à la mise en place de bases solides. Si ces bases sont principalement basées sur des outils, il y a de fortes chances que les niveaux de maturité soient inférieurs à ceux sur lesquels misent les responsables de la sécurité. Une étude du Ponemon Institute a révélé que 53 % des entreprises n'étaient pas convaincues que leur infrastructure technologique de sécurité puisse empêcher efficacement les violations, et avec l'erreur humaine est la principale cause des cyberattaques réussies contre des entreprises, grandes et petites, laissant les développeurs à l'écart d'une amélioration stratégique de la sécurité, c'est jouer avec le feu.
Faire des développeurs la force motrice de l'excellence en matière de sécurité logicielle
La triste réalité qui entoure les cyberattaques est que, dans presque tous les cas, les attaquants ont un net avantage sur leur entreprise cible, quel que soit leur stade de maturité en matière de sécurité. Ils ont le temps, les outils et la motivation nécessaires pour rechercher méticuleusement toute faiblesse à exploiter, en se consacrant à percer et à gagner leur vie.
Les entreprises, quant à elles, jonglent entre les besoins de leurs entreprises et ceux de leurs clients, et bien qu'elles ne puissent pas se permettre le risque immense d'une cyberattaque de grande envergure, il n'est pas pratique pour elles de ralentir leurs opérations pour s'adapter à une multitude de contrôles de sécurité susceptibles de nuire aux performances. C'est là que les développeurs compétents en matière de sécurité représentent un facteur X dans les résultats de la cyberdéfense.
Bien qu'il soit établi depuis longtemps que les développeurs n'ont pas toujours été autorisés à partager la responsabilité en matière de sécurité de manière significative, cela peut et doit changer pour le mieux. Les organisations peuvent créer des parcours de renforcement des compétences viables pour la cohorte en développement, mais elles doivent sélectionner des options pédagogiques qui proposent des supports de cours pertinents d'une manière qui ait du sens dans leur monde. Au minimum, il doit être transmis dans les langages et les frameworks qu'ils utilisent activement et remédier aux vulnérabilités qu'ils sont les plus susceptibles de rencontrer dans leur base de code.
Lorsque les cours sont structurés en tenant compte du flux de travail du développeur, il est beaucoup plus probable que les modèles de codage médiocres qui perpétuent les vulnérabilités et les erreurs de configuration courantes soient remplacés par des modèles fiables et sûrs qui améliorent considérablement la qualité du logiciel au fil du temps. Les logiciels de faible qualité coûtent cher aux États-Unis 2,41 billions de dollars rien que cette année, et cela ne peut être résolu qu'en brisant le cycle des erreurs qui entretiennent une dette technique risquée.
Il faut un engagement à l'échelle de l'organisation en faveur d'un programme de sécurité plus positif et holistique, un programme qui exploite le pouvoir humain nécessaire pour faire la différence dans les problèmes centrés sur les personnes. Et s'il est essentiel de rester à l'écart des gros titres de demain, cela en vaut certainement la peine.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
Alors que la plupart des entreprises font face au flux et au reflux de la croissance, de l'innovation et de la transformation numérique, il est tout à fait naturel que certains domaines restent en cours à mesure que l'entreprise évolue. C'est souvent le cas pour le programme de cybersécurité d'une organisation, d'autant plus que les responsables de la sécurité luttent pour garder une longueur d'avance sur les nouvelles menaces, vulnérabilités et développements technologiques qui augmentent l'exposition aux risques.
Cependant, avec un pénurie persistante de compétences En dépit du déluge de code écrit pour répondre aux besoins logiciels mondiaux, de nombreuses entreprises prennent du retard dans leur stratégie de cybersécurité et leur infrastructure existante. Et comme le secteur semble obsédé par une approche basée sur les outils, le pouvoir des personnes qualifiées est souvent oublié dans un programme défensif efficace.
Il est temps que nous examinions honnêtement notre maturité globale en matière de cybersécurité et que nous évaluions les gains rapides viables qui se présentent à nous.
La maturité durable en matière de cybersécurité est un processus.
Il est facile pour le public de supposer que chaque entreprise dispose d'un programme de cybersécurité robuste, et la protection consiste simplement à sélectionner le bon logiciel et à l'activer comme un bouclier de force pour arrêter les acteurs de la menace. 2022 étant l'une des les pires années jamais enregistrées en matière de cyberincidents - y compris l'ensemble du gouvernement du Costa Rica est détenu contre rançon - de nombreux professionnels de la sécurité ne pouvaient que souhaiter que ce soit aussi simple.
Alors que de nombreux secteurs, en particulier dans le secteur financier, sont axés sur la conformité et sont soumis à des cadres réglementaires de plus en plus complexes qui exigent des mesures de sécurité strictes, la réalité est que la plupart des organisations font preuve d'un manque de cyberrésilience. Plus de la moitié des grandes entreprises du monde entier ne parviennent pas à stopper efficacement les cyberattaques, pas plus qu'elles ne détectent et corrigent rapidement les vulnérabilités exploitées.
Même les organisations considérées comme avancées, dotées d'un programme défini et mature intégrant une triple menace basée sur les meilleures pratiques, à savoir les personnes, les processus et les technologies, peuvent avoir du mal à répondre aux exigences rapides du paysage des menaces. Un domaine critique dans lequel de nombreuses entreprises échouent est la sensibilisation à la sécurité basée sur les rôles, en particulier pour l'équipe de développement. Alors que chaque membre d'une organisation doit comprendre le rôle qu'il joue dans la réduction de la surface d'attaque, ceux qui se disputent le code jour après jour pourraient être aux commandes d'une véritable approche transformationnelle de la sécurité... si seulement ils étaient suffisamment perfectionnés.
Un programme de sécurité holistique et défensif exige une amélioration continue et nécessite une attention particulière à la mise en place de bases solides. Si ces bases sont principalement basées sur des outils, il y a de fortes chances que les niveaux de maturité soient inférieurs à ceux sur lesquels misent les responsables de la sécurité. Une étude du Ponemon Institute a révélé que 53 % des entreprises n'étaient pas convaincues que leur infrastructure technologique de sécurité puisse empêcher efficacement les violations, et avec l'erreur humaine est la principale cause des cyberattaques réussies contre des entreprises, grandes et petites, laissant les développeurs à l'écart d'une amélioration stratégique de la sécurité, c'est jouer avec le feu.
Faire des développeurs la force motrice de l'excellence en matière de sécurité logicielle
La triste réalité qui entoure les cyberattaques est que, dans presque tous les cas, les attaquants ont un net avantage sur leur entreprise cible, quel que soit leur stade de maturité en matière de sécurité. Ils ont le temps, les outils et la motivation nécessaires pour rechercher méticuleusement toute faiblesse à exploiter, en se consacrant à percer et à gagner leur vie.
Les entreprises, quant à elles, jonglent entre les besoins de leurs entreprises et ceux de leurs clients, et bien qu'elles ne puissent pas se permettre le risque immense d'une cyberattaque de grande envergure, il n'est pas pratique pour elles de ralentir leurs opérations pour s'adapter à une multitude de contrôles de sécurité susceptibles de nuire aux performances. C'est là que les développeurs compétents en matière de sécurité représentent un facteur X dans les résultats de la cyberdéfense.
Bien qu'il soit établi depuis longtemps que les développeurs n'ont pas toujours été autorisés à partager la responsabilité en matière de sécurité de manière significative, cela peut et doit changer pour le mieux. Les organisations peuvent créer des parcours de renforcement des compétences viables pour la cohorte en développement, mais elles doivent sélectionner des options pédagogiques qui proposent des supports de cours pertinents d'une manière qui ait du sens dans leur monde. Au minimum, il doit être transmis dans les langages et les frameworks qu'ils utilisent activement et remédier aux vulnérabilités qu'ils sont les plus susceptibles de rencontrer dans leur base de code.
Lorsque les cours sont structurés en tenant compte du flux de travail du développeur, il est beaucoup plus probable que les modèles de codage médiocres qui perpétuent les vulnérabilités et les erreurs de configuration courantes soient remplacés par des modèles fiables et sûrs qui améliorent considérablement la qualité du logiciel au fil du temps. Les logiciels de faible qualité coûtent cher aux États-Unis 2,41 billions de dollars rien que cette année, et cela ne peut être résolu qu'en brisant le cycle des erreurs qui entretiennent une dette technique risquée.
Il faut un engagement à l'échelle de l'organisation en faveur d'un programme de sécurité plus positif et holistique, un programme qui exploite le pouvoir humain nécessaire pour faire la différence dans les problèmes centrés sur les personnes. Et s'il est essentiel de rester à l'écart des gros titres de demain, cela en vaut certainement la peine.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
Alors que la plupart des entreprises font face au flux et au reflux de la croissance, de l'innovation et de la transformation numérique, il est tout à fait naturel que certains domaines restent en cours à mesure que l'entreprise évolue. C'est souvent le cas pour le programme de cybersécurité d'une organisation, d'autant plus que les responsables de la sécurité luttent pour garder une longueur d'avance sur les nouvelles menaces, vulnérabilités et développements technologiques qui augmentent l'exposition aux risques.
Cependant, avec un pénurie persistante de compétences En dépit du déluge de code écrit pour répondre aux besoins logiciels mondiaux, de nombreuses entreprises prennent du retard dans leur stratégie de cybersécurité et leur infrastructure existante. Et comme le secteur semble obsédé par une approche basée sur les outils, le pouvoir des personnes qualifiées est souvent oublié dans un programme défensif efficace.
Il est temps que nous examinions honnêtement notre maturité globale en matière de cybersécurité et que nous évaluions les gains rapides viables qui se présentent à nous.
La maturité durable en matière de cybersécurité est un processus.
Il est facile pour le public de supposer que chaque entreprise dispose d'un programme de cybersécurité robuste, et la protection consiste simplement à sélectionner le bon logiciel et à l'activer comme un bouclier de force pour arrêter les acteurs de la menace. 2022 étant l'une des les pires années jamais enregistrées en matière de cyberincidents - y compris l'ensemble du gouvernement du Costa Rica est détenu contre rançon - de nombreux professionnels de la sécurité ne pouvaient que souhaiter que ce soit aussi simple.
Alors que de nombreux secteurs, en particulier dans le secteur financier, sont axés sur la conformité et sont soumis à des cadres réglementaires de plus en plus complexes qui exigent des mesures de sécurité strictes, la réalité est que la plupart des organisations font preuve d'un manque de cyberrésilience. Plus de la moitié des grandes entreprises du monde entier ne parviennent pas à stopper efficacement les cyberattaques, pas plus qu'elles ne détectent et corrigent rapidement les vulnérabilités exploitées.
Même les organisations considérées comme avancées, dotées d'un programme défini et mature intégrant une triple menace basée sur les meilleures pratiques, à savoir les personnes, les processus et les technologies, peuvent avoir du mal à répondre aux exigences rapides du paysage des menaces. Un domaine critique dans lequel de nombreuses entreprises échouent est la sensibilisation à la sécurité basée sur les rôles, en particulier pour l'équipe de développement. Alors que chaque membre d'une organisation doit comprendre le rôle qu'il joue dans la réduction de la surface d'attaque, ceux qui se disputent le code jour après jour pourraient être aux commandes d'une véritable approche transformationnelle de la sécurité... si seulement ils étaient suffisamment perfectionnés.
Un programme de sécurité holistique et défensif exige une amélioration continue et nécessite une attention particulière à la mise en place de bases solides. Si ces bases sont principalement basées sur des outils, il y a de fortes chances que les niveaux de maturité soient inférieurs à ceux sur lesquels misent les responsables de la sécurité. Une étude du Ponemon Institute a révélé que 53 % des entreprises n'étaient pas convaincues que leur infrastructure technologique de sécurité puisse empêcher efficacement les violations, et avec l'erreur humaine est la principale cause des cyberattaques réussies contre des entreprises, grandes et petites, laissant les développeurs à l'écart d'une amélioration stratégique de la sécurité, c'est jouer avec le feu.
Faire des développeurs la force motrice de l'excellence en matière de sécurité logicielle
La triste réalité qui entoure les cyberattaques est que, dans presque tous les cas, les attaquants ont un net avantage sur leur entreprise cible, quel que soit leur stade de maturité en matière de sécurité. Ils ont le temps, les outils et la motivation nécessaires pour rechercher méticuleusement toute faiblesse à exploiter, en se consacrant à percer et à gagner leur vie.
Les entreprises, quant à elles, jonglent entre les besoins de leurs entreprises et ceux de leurs clients, et bien qu'elles ne puissent pas se permettre le risque immense d'une cyberattaque de grande envergure, il n'est pas pratique pour elles de ralentir leurs opérations pour s'adapter à une multitude de contrôles de sécurité susceptibles de nuire aux performances. C'est là que les développeurs compétents en matière de sécurité représentent un facteur X dans les résultats de la cyberdéfense.
Bien qu'il soit établi depuis longtemps que les développeurs n'ont pas toujours été autorisés à partager la responsabilité en matière de sécurité de manière significative, cela peut et doit changer pour le mieux. Les organisations peuvent créer des parcours de renforcement des compétences viables pour la cohorte en développement, mais elles doivent sélectionner des options pédagogiques qui proposent des supports de cours pertinents d'une manière qui ait du sens dans leur monde. Au minimum, il doit être transmis dans les langages et les frameworks qu'ils utilisent activement et remédier aux vulnérabilités qu'ils sont les plus susceptibles de rencontrer dans leur base de code.
Lorsque les cours sont structurés en tenant compte du flux de travail du développeur, il est beaucoup plus probable que les modèles de codage médiocres qui perpétuent les vulnérabilités et les erreurs de configuration courantes soient remplacés par des modèles fiables et sûrs qui améliorent considérablement la qualité du logiciel au fil du temps. Les logiciels de faible qualité coûtent cher aux États-Unis 2,41 billions de dollars rien que cette année, et cela ne peut être résolu qu'en brisant le cycle des erreurs qui entretiennent une dette technique risquée.
Il faut un engagement à l'échelle de l'organisation en faveur d'un programme de sécurité plus positif et holistique, un programme qui exploite le pouvoir humain nécessaire pour faire la différence dans les problèmes centrés sur les personnes. Et s'il est essentiel de rester à l'écart des gros titres de demain, cela en vaut certainement la peine.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
